picasso

Ten komunikat może być pochodną innego zainfekowanego komputera zlokalizowanego w Twojej sieci. W raportach widać wprawdzie pewne ślady po infekcji (ustawiony Debugger), ale wyglądają one na nieaktywne. Czyli do wdrożenia tylko drobne czyszczenie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: IFEO\RegWorks.exe: [Debugger] svchost.exe IFEO\RSITx64.exe: [Debugger] svchost.exe BootExecute: autocheck autochk * sdnclean64.exe Task: {0C8E6933-ECFE-44A4-8870-06CC05EBB6ED} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {157D28B0-3229-43A5-9EC4-B8BED0B2F75E} - System32\Tasks\{DE26C488-2ADA-417D-8BC3-767A39608A03} => pcalua.exe -a "E:\Pobrane\AG3DB Public Release\AG3DBC\bin\Release\AG3DBC.exe" -d "E:\Pobrane\AG3DB Public Release\AG3DBC\bin\Release" Task: {157DCE99-91A4-4231-B289-8CCF3E7B698E} - System32\Tasks\{F792CBFE-675A-4C12-8250-9841D1808C83} => pcalua.exe -a C:\Windows\AppPatch\AppLoc.exe -d E:\Gry\Banished\EDIT\CM3D2EditTrial -c "E:\Gry\Banished\EDIT\CM3D2EditTrial\uninst.exe" "/L0411" Task: {2BF11BE6-1E5C-47C7-9C59-3328376B9EFE} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {2C850EEC-9D48-4ACA-9C78-E8535038B098} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {314C3EC0-7761-448B-B05A-99E8B2BA57A7} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {34956357-672F-46E3-82C9-BEBAC4B81B75} - System32\Tasks\{2288573C-C73A-4C1B-B168-102951861E04} => pcalua.exe -a F:\redist\gfwlivesetup.exe -d F:\redist Task: {3DE4959F-FFD2-4122-95EE-7D3D74E104F1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {485E1CF2-07BB-4336-AFF5-18ABC8F4ACFE} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {4E724EFD-8FA1-402F-88B0-967DECFF14F5} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {5375776B-F652-4FB2-9DF6-14CBD28BA067} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {9C61412D-E6DD-44EE-BF2B-248079402E1B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {B23CF1CB-BF53-4744-9779-9290563A700F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {B7C01277-8E47-4FB0-95A8-EFFF48B29FE3} - System32\Tasks\{EB21521C-4200-4A39-BEFB-D792B7061637} => pcalua.exe -a "C:\Users\Bajan\Downloads\Silent Hill 3 PL\Silent Hill 3 PL.exe" -d "C:\Users\Bajan\Downloads\Silent Hill 3 PL" Task: {C3AB4EEB-0F61-414A-BCB3-044321F70CD5} - System32\Tasks\ASUS InstantOn Config => C:\Program Files\ASUS\P4G\InsOnCfg.exe Task: {ED7D81DA-5180-4C42-96D9-CFC4A6F38682} - System32\Tasks\AsusVibeSchedule => C:\Program Files (x86)\Asus\AsusVibe\AsusVibeLauncher.exe Task: {F7968903-2F03-48C3-A6F6-94E88A08AD58} - System32\Tasks\{8DAA0089-5EDF-4122-993E-5CFD439D0B6A} => pcalua.exe -a "E:\Pobrane\Silent Hill 3\directx8.1b\dxsetup.exe" -d "E:\Pobrane\Silent Hill 3\directx8.1b" Task: {FED447C7-F5F8-4332-A3BF-5D540942F3FA} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe HKU\S-1-5-21-3747112732-852065818-843328708-1001\...\MountPoints2: F - "F:\setup\rsrc\Autorun.exe" CHR HomePage: Default -> hxxp://www.trovi.com/?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M191AFA8C-386D-4C06-AF7A-6C8DA97E394D&SearchSource=55&CUI=&UM=8&UP=SP1FAD61C9-73BA-4AE4-946C-A11F550D6A54&SSPV=SP2201TB_sp_ch&SSPV=SP2201TB_sp_ch SearchScopes: HKU\S-1-5-21-3747112732-852065818-843328708-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3747112732-852065818-843328708-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Plugin HKU\S-1-5-21-3747112732-852065818-843328708-1001: ubisoft.com/uplaypc -> E:\Gry\Settlers\Data\Base\_Dbg\Bin\Release\orbit\npuplaypc.dll [brak pliku] C:\ProgramData\Temp C:\ProgramData\Spybot - Search & Destroy C:\WINDOWS\SysWOW64\zlib.dll CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Problem jest złożony. Są tu dwa typy infekcji: programy adware i szkodliwe zadania w Harmonogramie (m.in. wywołujące jakąś komendę PowerShell) oraz modyfikacja serwerów DNS na poziomie routera i na poziomie Windows. Wszędzie ustawione izraelskie serwery: KLIK. Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{748514DC-E955-4044-B0F5-42DC469CF715}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{E3F40742-A55E-4A7D-ADBF-B43015DE7D4D}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{E3F40742-A55E-4A7D-ADBF-B43015DE7D4D}: [DhcpNameServer] 82.163.143.171 Działania do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Panel sterowania > Połączenia sieciowe > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Przez Dodaj/Usuń programy odinstaluj adware eShield Browser Security, UpdateAdmin. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: G:\WINDOWS\Tasks\{01ED11CC-E6D2-7E7D-9FE5-CA893C318F6E}.job => G:\WINDOWS\system32\regsvr32.exeE /s /n /i:/rt G:\DOCUME~1\ALLUSE~1\DANEAP~1\23400041\9942d3b.dll <==== UWAGA Task: G:\WINDOWS\Tasks\{0D780C47-7D7A-0D78-7E11-090B0B791109}.job => powershell exe HKU\S-1-5-21-1275210071-117609710-839522115-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={3D7E5B06-BE35-4AB7-B0E8-FEDB431AEE6C}&i= HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={3D7E5B06-BE35-4AB7-B0E8-FEDB431AEE6C}&i=" <======= UWAGA SearchScopes: HKU\S-1-5-21-1275210071-117609710-839522115-1003 -> DefaultScope {D92D7B3A-0652-4C14-83DF-A2FAC6F5ED86} URL = hxxp://search.eshield.com/serp?guid={3D7E5B06-BE35-4AB7-B0E8-FEDB431AEE6C}&action=default_search&k={searchTerms} SearchScopes: HKU\S-1-5-21-1275210071-117609710-839522115-1003 -> {94EE9434-973C-439B-97C8-AB9E98B3DCE1} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11433 SearchScopes: HKU\S-1-5-21-1275210071-117609710-839522115-1003 -> {D92D7B3A-0652-4C14-83DF-A2FAC6F5ED86} URL = hxxp://search.eshield.com/serp?guid={3D7E5B06-BE35-4AB7-B0E8-FEDB431AEE6C}&action=default_search&k={searchTerms} DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/products/plugin/autodl/jinstall-170-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0051-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-170-windows-i586.cab ManualProxies: DeleteKey: HKLM\SOFTWARE\Google\Chrome G:\Documents and Settings\All Users\Dane aplikacji\{09f200ae-012c-1} G:\Documents and Settings\All Users\Dane aplikacji\{008c2af4-212c-0} G:\Documents and Settings\All Users\Dane aplikacji\23400041 G:\Documents and Settings\All Users\Dane aplikacji\7db22c9a-18e7-0 G:\Documents and Settings\All Users\Dane aplikacji\7db22c9a-23a7-0 G:\Documents and Settings\All Users\Dane aplikacji\7db22c9a-38b1-1 G:\Documents and Settings\All Users\Dane aplikacji\7db22c9a-4831-1 G:\Documents and Settings\All Users\Dane aplikacji\89cae59f-2131-0 G:\Documents and Settings\All Users\Dane aplikacji\89cae59f-2601-0 G:\Documents and Settings\Pc\Pulpit\Continue Pazera Free Audio Extractor installation.lnk G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\TNT2 G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\UpdateAdmin G:\Program Files\TNT2 CMD: ipconfig /flushdns CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt. Podaj też model routera. Potwierdź ustąpienie problemu.

Infekcja pomyślnie usunięta. Natomiast oporne Pokki zostanie usunięte po prostu z rejestru. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Pokki_Start_Menu RemoveDirectory: C:\ProgramData\NortonInstaller Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Problemem są liczne zadania w Harmonogramie zadań, efekt reklam byłby widoczny na dowolnej przeglądarce. Przypuszczalnie PriceFountain zostało nabyte podczas pobierania np. z dobrychprogramów: KLIK. Działania do przeprowadzenia: 1. Odinstaluj stare niebezpieczne wersje: Adobe Flash Player ActiveX, Adobe Reader 8.1.0. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {1A2234AC-74E4-4952-A796-7E16BD89A3F3} - System32\Tasks\{98C53A92-90DC-4BA6-B878-0D80303C7583} => pcalua.exe -a "C:\ProgramData\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}\Microsoft Office Activation Assistant.exe" -c REMOVE=TRUE MODIFY=FALSE Task: {2BB207CA-DED5-4590-865B-834B3237983F} - System32\Tasks\DestituteTummyV2 => Rundll32.exe LoomingChaise.dll,main 7 1 Task: {784705EA-8D5C-472D-B096-E3E934005F04} - System32\Tasks\GagaStandoutsV2 => Rundll32.exe AssiduouslyPucks.dll,main 7 1 Task: {B688AAC7-F85E-48CD-87B5-E2F91186665C} - System32\Tasks\HousecleanRelapsersV2 => Rundll32.exe SavagingClinically.dll,main 7 1 Task: {FAF73390-B6D8-42D5-B16F-4D338FF33697} - System32\Tasks\LoggingsBillboardV2 => Rundll32.exe NoninstinctiveHandicap.dll,main 7 1 S3 EverestDriver; \??\C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt [X] S4 UIUSys; system32\DRIVERS\UIUSYS.SYS [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKLM -> DefaultScope {66270EEA-BD35-4515-B0AD-721E24B9D86C} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {66270EEA-BD35-4515-B0AD-721E24B9D86C} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1803608392-3090673129-158451474-1002 -> DefaultScope {66270EEA-BD35-4515-B0AD-721E24B9D86C} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1803608392-3090673129-158451474-1002 -> {66270EEA-BD35-4515-B0AD-721E24B9D86C} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 Toolbar: HKU\S-1-5-21-1803608392-3090673129-158451474-1002 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1449337453&z=62e1c74e0f82870d807c751g6z4z2t4c5c7mfzbw1m&from=cor&uid=HitachiXHTS541616J9SA00_SB24A1GJGYE90SGYE90SX CHR HKLM\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-1803608392-3090673129-158451474-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\Users\Pawel\AppData\Local\DestituteTummy RemoveDirectory: C:\Users\Pawel\AppData\Local\GagaStandouts RemoveDirectory: C:\Users\Pawel\AppData\Local\HousecleanRelapsers RemoveDirectory: C:\Users\Pawel\AppData\Local\LoggingsBillboard RemoveDirectory: C:\Users\Pawel\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\Pawel\AppData\Local\Mozilla RemoveDirectory: C:\Users\Pawel\AppData\Roaming\Mozilla RemoveDirectory: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Program Files\GUT2E77.tmp C:\Users\Pawel\Downloads\sh-remover.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

W Firefox jest szkodliwe rozszerzenie GsearchFinder, które przywraca modyfikacje preferencji. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Task: {070D2592-F020-42EE-8374-0D871E2F3BBF} - System32\Tasks\0215tb_RML => C:\Program Files\AVG Web TuneUp\AVG-Secure-Search-Update_0215tb.exe Task: {47C75497-F6FA-4C89-9B56-9574575CA9FC} - System32\Tasks\{065EDE78-F15E-48B8-88B6-81F6D50B6134} => pcalua.exe -a F:\setup.exe -d F:\ -c -el -s2 "-dC:\Program Files\USB Vibration\7906\setup" "-p" "-sp" Task: {5F1337DF-22B4-451E-9A57-B97B35C50104} - System32\Tasks\{554FA88E-BEE4-4FA8-8922-AD497EE2A5AD} => pcalua.exe -a I:\download\Realtime_Audio_Effects_v.1.08\V108.exe -d I:\download\Realtime_Audio_Effects_v.1.08 Task: {689A993C-465D-4A79-96FC-FD34CD453723} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {718D529A-4DE9-4B11-AAC7-A07ED5EE430E} - System32\Tasks\{00C87106-B09D-4B0D-9094-EFE94D55A3E2} => D:\Program Files\Shai Raiten\Bluetooth Radar\Blue Radar.exe Task: {93A63725-46E6-48F2-AE34-2968239181A8} - \Program aktualizacji online firmy Adobe. -> Brak pliku Task: {B6539625-8C62-4166-859A-7E5C265D2EC3} - System32\Tasks\{4107DA9D-7BBB-4FD6-9E1F-CA7FFEC327E6} => pcalua.exe -a "I:\Games\KotF Jedi Academy Expansion Pack\Menus\flashactivexinstaller.exe" -d "I:\Games\KotF Jedi Academy Expansion Pack\Menus" Task: C:\Windows\Tasks\0215tb_RML.job => C:\Program Files\AVG Web TuneUp\AVG-Secure-Search-Update_0215tb.exe HKU\S-1-5-21-3561182577-639801756-3185389835-500\...\Run: [NextLive] => C:\Windows\system32\rundll32.exe "C:\Users\Administrator\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l HKU\S-1-5-21-3561182577-639801756-3185389835-1004\...\Winlogon: [shell] C:\Windows\eHome\McrMgr.exe [313344 2009-07-14] (Microsoft Corporation) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-3561182577-639801756-3185389835-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.search.ask.com/?tpid=ORJ-SPE&o=APN11406&pf=V7&trgb=IE&p2=%5EBBE%5EOSJ000%5EYY%5EPL&gct=hp&apn_ptnrs=BBE&apn_dtid=%5EOSJ000%5EYY%5EPL&apn_dbr=ie_11.0.9600.17496&apn_uid=D3811133-D362-4BD3-B112-ABC0F68B873F&itbv=12.21.0.114&doi=2014-12-19&psv=&pt=tb SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-3561182577-639801756-3185389835-500 -> {3F763D04-7961-400F-9246-EAA23CA714F5} URL = hxxp://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.21.0.114&apn_uid=D3811133-D362-4BD3-B112-ABC0F68B873F&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_11.0.9600.17496&doi=2014-12-19&trgb=IE&q={searchTerms}&psv=&pt=tb FF HKLM\...\Firefox\Extensions: [isend@www.bluesoleil.com] - d:\Program Files\New Folder\IVT Corporation\BlueSoleil\TransSend\FireFox\isend@www.bluesoleil.com FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2015-02-09] DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\Google C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Activision C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Knights of the Force C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LucasArts C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wiedźmin 2 C:\Users\Administrator\Desktop\Play Star Wars Jedi Knight Jedi Academy.lnk C:\Users\Administrator\Links\Desktop.lnk C:\Users\Administrator\AppData\Local\Microsoft\Windows\GameExplorer\{8C325FDD-CF43-49D9-9BCA-03949917A80A} C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Majkel\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Majkel\AppData\Local\nsqFC0D.tmp C:\Users\Majkel\AppData\Local\Google C:\Users\Majkel\AppData\Local\Microsoft\Windows\GameExplorer\{50163A98-7A83-4188-9C91-00913ECB99E9} C:\Users\Majkel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 C:\Users\Majkel\Downloads\Desktop\Counter-Strike 1.6.lnk C:\Users\Majkel\Downloads\Desktop\Play Star Wars Jedi Knight Jedi Academy.lnk C:\Users\Public\Desktop\Tony Hawk's Underground 2.lnk C:\Windows\0 C:\Windows\System32\0 C:\Windows\System32\Tasks\Lenovo Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale wszystkie rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 3. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpisy Google Update Helper, Metric Collection SDK > Dalej. Dwa wpisy, więc narzędzie należy uruchomić dwa razy. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Majkel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W systemie per se widoczne drobne odpadki adware. Natomiast infekcja Gamarue jest tylko na urządzeniu. Infekcja utworzyła folder "bez nazwy" (znak ASCI), do którego przesunęła wszystkie dane. Folder został ukryty za pomocą atrybutów HS (ukryty systemowy), czyli jest widoczny po odznaczeniu w opcjach folderów Ukryj chronione pliki systemu operacyjnego. Naprawa będzie polegać na zdjęciu atrybutów HS i ręcznym przekopiowaniu danych. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: FF Plugin-x32: @videolan.org/vlc,version=2.0.3 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\0wsq8knk.default\extensions\fftoolbar2014@etech.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\0wsq8knk.default\extensions\quick_searchff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\0wsq8knk.default\extensions\sweetsearch@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-544182260-2193072089-3567993724-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130849302545963512&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130849302545983514&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421618720&from=cor&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421618720&from=cor&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421618779&from=cor&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421618779&from=cor&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421618720&from=cor&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421618720&from=cor&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385&q={searchTerms} HKU\S-1-5-21-544182260-2193072089-3567993724-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1432152437&z=b849ed68b350184ff39f59bg5zbc8oag9w1o1z5zbe&from=wpm05203&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-544182260-2193072089-3567993724-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-544182260-2193072089-3567993724-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-544182260-2193072089-3567993724-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-544182260-2193072089-3567993724-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO-x32: Brak nazwy -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> Brak pliku BHO-x32: Brak nazwy -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> Brak pliku DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Task: {17EB63DA-27F9-4D14-B585-3478C7EDA1C1} - System32\Tasks\{C1DC5E42-4922-4F51-9AAF-914B0543325D} => pcalua.exe -a C:\Users\HP\Desktop\POBRANE\irfanview_plugins_440_setup.exe -d C:\Users\HP\Desktop\POBRANE Task: {20A4FDF9-D3FA-4153-A700-CCD52B4EEEAF} - System32\Tasks\{8952C0CC-09C9-48D0-B75C-DC9D5D200DE5} => pcalua.exe -a C:\Users\HP\Desktop\sp52145.exe -d C:\Users\HP\Desktop Task: {38DB2182-F7D1-47C5-AAC6-0C5641A22234} - System32\Tasks\{6C7ABBAB-6821-428E-A0F5-902E28F43E29} => pcalua.exe -a C:\Users\HP\Desktop\Uaktualnienie2000e.exe -d C:\Users\HP\Desktop Task: {45585F4D-C220-455C-BD55-4FFEE407B84B} - System32\Tasks\{E766F266-A8BB-468D-9D2E-254CB0A47B0B} => pcalua.exe -a C:\Users\HP\Desktop\POBRANE\irfanview_plugins_440_setup.exe -d C:\Users\HP\Desktop\POBRANE Task: {489EB306-4FD3-4DEE-8569-D0290C13EFB8} - System32\Tasks\{FC8A6F19-CA17-4F7A-B871-862C685776E3} => pcalua.exe -a C:\Users\HP\Desktop\POBRANE\irfanview_lang_polski.exe -d C:\Users\HP\Desktop\POBRANE Task: {4AD39E4C-52E1-42F3-9305-64C3BEE305FB} - System32\Tasks\{5C38FBAC-CB4B-499F-B39F-2A54E52B7E9B} => pcalua.exe -a E:\autorun.exe -d E:\ Task: {7B10828B-14AE-4CBD-85C0-3D5CEE083393} - System32\Tasks\{5EAFDCC8-E6F0-4B3A-8726-6E5B4CFBA090} => pcalua.exe -a C:\Users\HP\Desktop\POBRANE\USMoneyDlxSunset.exe -d C:\Users\HP\Desktop\POBRANE Task: {87F3797B-FB14-49AD-AE94-D48169594B6B} - System32\Tasks\{AF747099-D52A-4578-A743-B639BF87DD31} => pcalua.exe -a C:\Users\HP\Desktop\sp52143.exe -d C:\Users\HP\Desktop Task: {8C0DCD49-DF5A-414F-AB2A-C9C79AE5853F} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {D7E2C4A0-45CB-4BB7-BA66-E4E1F54E32C1} - System32\Tasks\{D30D9DAC-0A19-4453-8EE6-6F1F4EDFF428} => pcalua.exe -a C:\Users\HP\AppData\Local\Temp\Shortcut_SweetIMSetup.exe -d C:\Users\HP\Desktop -c -Shortcut Task: {DFF81848-46F0-4BFC-B97A-9D7F32B97A59} - System32\Tasks\ScanSoft Background Update => C:\Program Files (x86)\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-544182260-2193072089-3567993724-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Spacekace RemoveDirectory: C:\Program Files (x86)\ESET RemoveDirectory: F:\System Volume Information CMD: attrib /d /s -s -h F:\* CMD: attrib /d /s -r -s -h C:\FOUND.* CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" CMD: for /d %f in (C:\Users\HP\AppData\Local\{*}) do rd /s /q "%f" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Zakładam, że urządzenie jest zmapowane pod literą F:, w przeciwnym wypadku w linii CMD: attrib /d /s -s -h F:\* zmień literę na bieżącą. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. 2. Jeśli powyższy skrypt wykona się poprawnie, na urządzeniu zostanie odkryty folder "bez nazwy". Wejdź do niego i przenieś wszystkie dane poziom wyżej. Następnie folder przez SHIFT+DEL (omija Kosz) skasuj.

Temat przenoszę do działu Windows. Nic tu nie wskazuje, by problemem była infekcja. W systemie tylko drobne nieaktywne odpadki adware, zupełnie bez związku. W spoilerze szybkie doczyszczanie mini śmieci i pustych wpisów. Operacja nie wpłynie na zgłoszone błędy. 1. W jaki sposób aktywność dysku została zdiagnozowana? Czy jesteś pewien, że nie ma tu nic do rzeczy Cobian Backup? I odinstaluj AVG Web TuneUp. 2. Jeśli chodzi o problem z błędną detekcją platformy, to prawdopodobnie jest to konsekwencja manipulacji z aktywacją Windows. To jest definitywnie scrackowany Windows. "Windows 7 Activator" na dysku, zmodyfikowane pliki systemowe User32.dll oraz w Dzienniku zdarzeń charakterystyczne błędy: 2016-03-07 11:47 - 2015-09-15 21:51 - 00000000 ____D C:\Program Files (x86)\Windows 7 Activator C:\Windows\system32\User32.dll [2010-11-21 04:24] - [2015-11-25 12:36] - 1008640 ____A (Microsoft Corporation) 2C353B6CE0C8D03225CAA2AF33B68D79 C:\Windows\SysWOW64\User32.dll [2010-11-21 04:24] - [2015-11-25 12:36] - 0833024 ____A (Microsoft Corporation) 861C4346F9281DC0380DE72C8D55D6BE Dziennik Aplikacja: ================== Error: (03/08/2016 05:46:29 PM) (Source: Winlogon) (EventID: 4103) (User: ) Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x80070005. Error: (03/08/2016 05:03:23 PM) (Source: Software Protection Platform Service) (EventID: 8193) (User: ) Description: Wystąpił błąd harmonogramu aktywacji licencji (sppuinotify.dll), kod błędu: 0x80070005 Dziennik System: ============= Error: (03/08/2016 10:03:23 AM) (Source: DCOM) (EventID: 10001) (User: ) Description: C:\Windows\System32\slui.exe -Embedding5{F87B28F1-DA9A-4F35-8EC0-800EFCF26B83} W związku z tym proponuję rozpocząć od zdjęcia cracka.

Brak jakichkolwiek oznak infekcji. Temat przenoszę do zasadniczego działu Windows. Z raportów nic nie wynika, żadnych wyraźnych oznak usterki czy konkretnego tropu. Proponuję zacząć od podstawowego kroku w takich przypadkach czyli sprawdzenia interferencji procesów: 1. Testowa deinstalacja ESET Smart Security. Oprogramowanie zabezpieczające jest bardzo rozbudowane (duża ilość usług / sterowników). 2. W przypadku braku rezultatów dodatkowy test z czystym rozruchem: KLIK.

Zewnętrzne skanowanie portów wykrywane w BitDefender nie świadczy o infekcji i nic w tej kwestii nie można zrobić, w rozumieniu trwałego wyeliminowania zjawiska. W niektórych konfiguracjach sieciowych nawet taka detekcja może być fałszywym alarmem (określone czynności związane z komunikacją z dostawcą sieci nieprawidłowo oceniane jako "skan portów"). Duża ilość wyników w GMER również nie jest decydującym czynnikiem w ocenie, w GMER pojawia sę dużo rekordów m.in. od programów typu antywirusy (są to inwazyjne aplikacje). Dla porównania możesz sprawdzić skan GMER wykonany z poziomu trybu awaryjnego Windows, wyników powinno być mniej. W raportach nie widzę żadnych jawnych oznak infekcji. Możesz doczyścić tylko drobne śmieci (puste wpisy, szczątki po aktualizacji ze starszego systemu do Windows 10). Czyli drobny skrypt do FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {00419279-088A-415A-8561-49D4CC5CF7B2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {2B0A6565-DFE8-4DCC-9C42-CFC1EEAF8499} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {572BA531-4A31-4748-8486-6659107E6400} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {59F86726-923D-4577-840E-5D1AE38D4683} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {64EED63C-C9F4-4234-9B6B-4848D72DE15C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {8F44135B-AEC5-4E7F-8266-325704FD5E5B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {926A489F-13E1-4EEB-8BA9-549E3F251856} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {F3A50D46-20F5-493E-839C-54F9C6B3089C} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {F7180DAB-9465-4A83-A117-9E2E23D80130} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] HKU\S-1-5-21-1766789467-2198004704-2712244009-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = BHO-x32: Brak nazwy -> {D2C5E510-BE6D-42CC-9F61-E4F939078474} -> Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Program Files (x86)\AdwCleaner RemoveDirectory: C:\ProgramData\TEMP C:\Users\Barek\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ASRockXTU /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v EzPrint /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v EzPrint /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. No skany FRST nie są mi potrzebne.

Brakuje nowych skanów FRST:

W systemie widać infekcję DNS (zmodyfikowany plik systemowy dnsapi.dll + modyfikacja serwerów DNS), różne elementy adware oraz niepoprawnie odinstalowany BitDefender. Był używany ComboFix i na ten temat: KLIK. Akcja do przeprowadzenia: 1. Zastosuj narzędzie RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 2. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Deinstalacje: - Zastosuj BitDefender Uninstall Tool (Consumer) (wybierz stosowną edycję, która była w komputerze). - Odinstaluj via Panel sterowania zbędny program Badanie mające na celu poprawę produktów HP Deskjet 3540 series oraz pozostałości po instalacji AVG Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {6AEFB9E6-86DE-496D-9713-4B3817A0A3A0} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-23] () Task: {8F863AE4-097A-4AE6-9291-FB9DB5455615} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\Download\C1ECEBEC0D9B503C749E73176F28F171\Update\BrowserUpdate.exe [2016-03-17] (Tencent) Task: {E51E792B-8256-4670-A1BF-E4D3C17C8CD2} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe S2 ggbugreport; C:\Program Files (x86)\SearchesToYesbnd\bugreport.exe [1592888 2016-03-15] () U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 btwampfl; \??\C:\Windows\system32\drivers\btwampfl.sys [X] S3 btwaudio; system32\drivers\btwaudio.sys [X] S3 btwavdt; \SystemRoot\system32\drivers\btwavdt.sys [X] S3 btwl2cap; system32\DRIVERS\btwl2cap.sys [X] S3 btwrchid; \SystemRoot\system32\drivers\btwrchid.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] S3 rtsuvc; system32\DRIVERS\rtsuvc.sys [X] HKLM-x32\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4123134607-749068009-789625685-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-4123134607-749068009-789625685-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKLM-x32 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LightGate DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main RemoveDirectory: C:\Program Files\SpaceSoundPro RemoveDirectory: C:\Program Files (x86)\AVG RemoveDirectory: C:\Program Files (x86)\Avira RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\MPC Cleaner RemoveDirectory: C:\Program Files (x86)\osTip RemoveDirectory: C:\Program Files (x86)\QQBrowser RemoveDirectory: C:\Program Files (x86)\SearchesToYesbnd RemoveDirectory: C:\Program Files (x86)\Tencent RemoveDirectory: C:\Program Files (x86)\Winsere RemoveDirectory: C:\Program Files (x86)\WinTaske RemoveDirectory: C:\ProgramData\Avg RemoveDirectory: C:\ProgramData\Oracle RemoveDirectory: C:\ProgramData\Tencent RemoveDirectory: C:\ProgramData\Thunder Network RemoveDirectory: C:\ProgramData\WindowsMsg RemoveDirectory: C:\Users\lenovo\.oracle_jre_usage RemoveDirectory: C:\Users\lenovo\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 RemoveDirectory: C:\Users\lenovo\AppData\Local\65F7C70F-1458138397-B0D8-676B-047D7BFF6525 RemoveDirectory: C:\Users\lenovo\AppData\Local\app RemoveDirectory: C:\Users\lenovo\AppData\Local\AvgSetupLog RemoveDirectory: C:\Users\lenovo\AppData\Local\Google RemoveDirectory: C:\Users\lenovo\AppData\Local\Tempfolder RemoveDirectory: C:\Users\lenovo\AppData\LocalLow\Oracle RemoveDirectory: C:\Users\lenovo\AppData\LocalLow\Sun RemoveDirectory: C:\Users\lenovo\AppData\Roaming\.minecraft RemoveDirectory: C:\Users\lenovo\AppData\Roaming\Baskijmap RemoveDirectory: C:\Users\lenovo\AppData\Roaming\BuotesYimu RemoveDirectory: C:\Users\lenovo\AppData\Roaming\java RemoveDirectory: C:\Users\lenovo\AppData\Roaming\Kiezlef RemoveDirectory: C:\Users\lenovo\AppData\Roaming\MCorp RemoveDirectory: C:\Users\lenovo\AppData\Roaming\Sun RemoveDirectory: C:\Users\lenovo\AppData\Roaming\Tencent RemoveDirectory: C:\Users\lenovo\AppData\Roaming\UPUpdata RemoveDirectory: C:\Users\Public\Documents\dmp RemoveDirectory: C:\Users\Public\Thunder Network RemoveDirectory: C:\Windows\system32\dio RemoveDirectory: C:\Windows\system32\jib RemoveDirectory: C:\Windows\system32\pot RemoveDirectory: C:\Windows\system32\puui RemoveDirectory: C:\Windows\system32\qea RemoveDirectory: C:\Windows\system32\sib RemoveDirectory: C:\Windows\system32\sinh RemoveDirectory: C:\Windows\system32\wacj RemoveDirectory: C:\Windows\system32\ygh RemoveDirectory: C:\Windows\system32\yhi C:\Yeabeats Browser.lnk C:\ProgramData\webad.xml C:\Users\Default\Desktop\Microsoft Office.lnk C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\Number of results CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt. Wypowiedz się czy są jeszcze jakieś problemy.

Pliki Fixlist są unikatowe i nie należy brać ich z innych tematów. Infekcja adware PriceFountain prawdopodobnie nabyta z serwisu dobreprogramy.pl przy udziale "Asystenta pobierania". Więcej na ten temat: KLIK. Ale jest tu więcej infekcji, tzn. modyfikacja serwerów DNS charakterystyczna dla DNS Unlocker. Działania do przeprowadzenia: 1. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {64677645-26FD-424D-9EC9-EE0DE96269AC} - System32\Tasks\{21914C31-76C6-4537-A777-26BAC87F125A} => Firefox.exe hxxp://ui.skype.com/ui/0/7.21.0.100/pl/abandoninstall?page=tsMain Task: {7135CC5F-3DD8-417A-A7A1-41FA58B1011F} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\Download\CE3D34B0F2E982E2B01C57FCCCFC2F41\Update\BrowserUpdate.exe [2016-03-17] (Tencent) Task: {D140AE9E-2AD1-4A46-97BE-CFF5DCF8D3C3} - System32\Tasks\aLepeszeKSuperintendentsCannieV2 => Rundll32.exe OaklandRejuvenescence.dll,main 7 1 Task: {E50F5979-EBB9-4955-A1FB-D8B3EADF4173} - System32\Tasks\{680C0B87-1A74-4A3A-BCAD-B559932F61DA} => pcalua.exe -a "C:\Users\aLepeszeK\AppData\Local\Temp\Temp1_Realtek_LAN_Win7-8-8-1_V787529_833529 (1).zip\Realtek_LAN_Win7-8-8-1_V787529_833529\LAN\Win7\setup.exe" Task: {F9F48836-19E3-400B-9C0D-480700138C68} - System32\Tasks\GridinSoft Anti-Malware => C:\Program Files\GridinSoft Anti-Malware\gsam.exe HKLM-x32\...\Run: [Kepard] => "C:\Program Files (x86)\Kepard\Kepard.exe" tray HKU\S-1-5-21-232294536-3578055018-3067616561-1000\...\Run: [CyberGhost] => "C:\Program Files\CyberGhost 5\CyberGhost.exe" /autostart /min HKU\S-1-5-21-232294536-3578055018-3067616561-1000\...\Run: [Napisy24Update] => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep" HKU\S-1-5-21-232294536-3578055018-3067616561-1000\...\Run: [Napisy24.pl] => "C:\Program Files (x86)\Napisy24\Napisy24.exe" AutoStart HKU\S-1-5-21-232294536-3578055018-3067616561-1000\...\Policies\Explorer: [] HKU\S-1-5-21-232294536-3578055018-3067616561-1000\...\MountPoints2: {6a91e9c8-eccf-11e5-b063-f079595b4040} - F:\Setup.exe S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-232294536-3578055018-3067616561-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-232294536-3578055018-3067616561-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=188 HKU\S-1-5-21-232294536-3578055018-3067616561-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\Program Files\CyberGhost 5 RemoveDirectory: C:\Program Files (x86)\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\QQBrowser RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokerTracker 4 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip RemoveDirectory: C:\Users\aLepeszeK\AppData\Local\Google RemoveDirectory: C:\Users\aLepeszeK\AppData\Local\Opera Software RemoveDirectory: C:\Users\aLepeszeK\AppData\Local\PokerTracker 4 RemoveDirectory: C:\Users\aLepeszeK\AppData\Local\SmartGuard RemoveDirectory: C:\Users\aLepeszeK\AppData\Local\SuperintendentsCannie RemoveDirectory: C:\Users\aLepeszeK\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\aLepeszeK\AppData\Roaming\WinZiper RemoveDirectory: C:\Users\aLepeszeK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR RemoveDirectory: C:\Users\Public\Documents\dmp C:\ProgramData\flwjycbm.bab C:\Users\aLepeszeK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BetclicPoker.com.lnk C:\Users\aLepeszeK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\CyberGhost 5.lnk C:\Users\aLepeszeK\Downloads\*-dp*.exe CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\aLepeszeK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

W raportach nie ma śladów tych przekierowań w Edge, ale FRST nie skanuje wszystkich ustawień. Zostanie tu wykonany reset ustawień Edge i inne drobne doczyszczanie. Akcja: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędne programy: HP Deskjet 5520 series — badanie mające na celu poprawę produktów, WebStorage. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite Automount" /f HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-1391875746-577248832-3267673664-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF HKLM-x32\...\Run: [] => [X] BootExecute: autocheck autochk * bootdelete ManualProxies: Tcpip\..\Interfaces\{5b4a9d77-9cdb-4475-b276-2776b130a1ae}: [DhcpNameServer] 40.54.1.16 S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [83096 2015-11-25] (McAfee, Inc.) Task: {0C1B3FF8-5D95-4028-BF08-9D35E7833511} - System32\Tasks\{F25B2057-D00E-4B9B-BA14-663442D6A760} => pcalua.exe -a C:\Users\Agata\AppData\Roaming\WarThunder\Uninstaller.exe -c /Run /ePN:0W1T1C0T1M2Y1G1Q1P1C Task: {1A0EEC8C-AB4F-49C5-85BE-4E31589FB20E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {1B5A5CDD-6D80-4362-BE6D-7AFBAA6875A7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {2157C308-5827-4951-BD38-EF0C998B3585} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {25CDC5F6-22C0-4744-BFC5-4535A1FE9928} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\Download\E9207EB106E716ACFD3B51D391498F16\Update\BrowserUpdate.exe [2016-03-17] (Tencent) Task: {54C26067-9148-4ECC-A4FF-50A520D140B2} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {6045ED40-B08A-48E2-A6DF-F1D2DB89E1DE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {8292F44E-3048-43C4-BCD7-9F8AEEFECF72} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {902BF050-2A5D-4F2F-9ED2-A7C1CDE68CFE} - \task Update -> Brak pliku Task: {C44442C3-2D81-487B-A094-B5D12656CE60} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {D97A7CCA-DCE7-4926-85E3-154EA63578E1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {F50B1DAF-0343-4EE7-B0B4-8715CA69A2AC} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {F9DED7FD-E7E8-4C68-8CC2-A48D526D40C2} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {FBDAEB41-B071-4332-9B45-474F88CF6B88} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\QQBrowser RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\WINDOWS\SysWOW64\_tWm C:\Users\Agata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Agata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\WINDOWS\System32\bootdelete.exe C:\WINDOWS\System32\bootdelete.lst C:\Windows\System32\drivers\mfeelamk.sys C:\WINDOWS\SysWOW64\123.html C:\WINDOWS\SysWOW64\data.bin EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

W systemie liczne infekcje adware, w tym modyfikacja systemowych plików dnsapi.dll oraz przejęte serwery DNS. Widać też, że pobierałeś z serwisu dobreprogramy "Asystent pobierania" a nie właściwe instalatory. Więcej na ten temat: KLIK. Działania do przeprowadzenia: 1. Zastosuj narzędzie RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 2. Klawisz z flagą Windows + X > Połączenia sieciowe > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Deinstalacje: - Wejdź do folderu C:\Program Files (x86)\MPC Cleaner, wyszukaj plik deinstalatora i z prawokliku "Uruchom jako Administrator". - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje Adobe AIR, Java 8 Update 65, Java 8 Update 71 (64-bit). 4. Wyłącz COMODO, gdyż może zablokować FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 lhgu; C:\ProgramData\\lhgu\\lhgu.exe [529408 2016-03-20] () [File not signed] R2 Lhtao; C:\Users\Oskar_2\AppData\Roaming\Kyiadare\Kyiadare.exe [174464 2016-03-18] () R2 Mofovoil; C:\Users\Oskar_2\AppData\Roaming\Bouriwy\Bouriwy.exe [174448 2016-03-19] () R2 Ruvsi; C:\Users\Oskar_2\AppData\Roaming\PiptoEtane\Ciwfof.exe [125808 2016-03-19] () R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [89840 2016-03-08] (Huorong Borui (Beijing) Technology Co., Ltd.) S2 ktip; "C:\Program Files\ktip\ktip.exe" /s iid=5674489 did=APSFTuto4PC sid=11 ref=98755442-2698-501e-053b-7d3f77cf59dc-PolicyMac id=32f6c6f0c472cf4f71174deecc12a0aebea8c248a4b5ed713c26dfee92989cf6 [X] S2 Lemxatxi; "C:\Users\Oskar_2\AppData\Roaming\ZafdygCanr\Tomorhuy.exe" -cms [X] S4 sptd2; System32\Drivers\sptd2.sys [X] Task: {1338BD96-7DC0-4FCD-B734-BEBF1FCF8380} - System32\Tasks\AdobeoaUpdate Ver 2015910 => C:\Users\Oskar\AppData\Roaming\wenguanjia\ElTaces.exe Task: {2F6DEDA1-BC2B-4480-AB42-9F83B8A66A4B} - System32\Tasks\Cyelma => C:\PROGRA~1\SHOPPE~1\Elipj.bat Task: {3ABBBCB2-B52E-4753-9E61-5DCF5C66DDCE} - System32\Tasks\{A471D989-5CC2-45A1-9B36-3AD188795DE9} => pcalua.exe -a C:\Users\Oskar\Downloads\GTA_V_Launcher_1_0_440_2.exe -d C:\WINDOWS\system32 Task: {557461C8-1F3F-4860-BCD4-D4506725333E} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {5E8C5490-65BC-428A-B596-673603171790} - System32\Tasks\Ukarb => C:\PROGRA~1\GROOVE~1\Kukavawn.bat Task: {7424C173-330E-473D-921A-D44936CCCE44} - \CCleanerSkipUAC -> No File Task: {A5AEF42F-B379-4841-ACA4-1355946E08A2} - System32\Tasks\{EB07B9E7-AFE2-43EE-A6FD-93C458AD5ABF} => pcalua.exe -a "D:\Program Files (x86)\Need for Speed Carbon\setup.exe" -d "D:\Program Files (x86)\Need for Speed Carbon" Task: {ACA025F9-B575-4EA2-A38A-13DC2A2D446D} - System32\Tasks\{4225B075-748C-467E-9E2B-06CADF3910B9} => pcalua.exe -a "C:\Program Files (x86)\Object Browser\Uninstall.exe" -c /fcp=1 Task: {BCF1DA28-99A7-425E-8987-E4C58E390079} - System32\Tasks\{FB8EA1CD-C771-4154-8256-CC96C1E0006C} => pcalua.exe -a "C:\Program Files (x86)\AnyProtectEx\uninstall.exe" Task: {BE9679E9-066F-4FA0-958A-E688B9042A2C} - System32\Tasks\{46FF4027-3BA4-40F5-8B84-CE55AC2AC132} => pcalua.exe -a "C:\Program Files (x86)\MyBrowser\MyBrowser\Application\39.5.2171.95\Installer\setup.exe" -c --uninstall --system-level Task: {C9BEE582-9DAF-47E7-AC69-92A9C607F4FB} - System32\Tasks\A5C721D-BE7C-45DE-BDAB-F2A072F86353 => C:\Users\Oskar\AppData\Local\A5C721D-BE7C-45DE-BDAB-F2A072F86353\A5C721D-BE7C-45DE-BDAB-F2A072F86353.exe Task: {EED17BB3-68BF-4718-9B87-CB8861035BA6} - System32\Tasks\{4A42DEF0-6D88-4ABD-979B-CD6DC8A0CA2F} => launchwinapp.exe hxxp://ui.skype.com/ui/0/7.18.0.112/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: C:\WINDOWS\Tasks\AdobeoaUpdate Ver 2015910.job => C:\Users\Oskar\AppData\Roaming\wenguanjia\ElTaces.exe/check_update C:\Users\Oskar\AppData\Roaming\wenguanjia\OSKAR-PC\Oskar(This task detect has update.Ver HKLM-x32\...\Run: [ProductUpdater] => C:\Program Files (x86)\Common Files\Freemake Shared\ProductUpdater\ProductUpdater.exe HKLM-x32\...\Run: [mpck_en_005030271] => [X] HKLM-x32\...\Run: [win_en_77] => [X] HKLM-x32\...\Run: [sun21] => [X] HKLM-x32\...\Run: [rec_pl_229] => [X] HKLM-x32\...\Run: [systemClose] => D:\Documents\systemfile.exe HKU\S-1-5-21-4005860982-2939158325-716014447-1008\...\Run: [svchost0] => C:\Program Files (x86)\UCBrowser\Application\UUC0789.exe HKU\S-1-5-21-4005860982-2939158325-716014447-1008\...\MountPoints2: {e4d41890-7243-11e5-8334-d027884e6a45} - "J:\setup.exe" AppInit_DLLs: C:\ProgramData\lhgu\S-cof.dll => C:\ProgramData\lhgu\S-cof.dll [363520 2016-03-20] () AppInit_DLLs-x32: C:\ProgramData\lhgu\Zentrax.dll => C:\ProgramData\lhgu\Zentrax.dll [257536 2016-03-20] () ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicyScripts: Restriction HKU\S-1-5-21-4005860982-2939158325-716014447-1008\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1Pb89ocP6_uXDNzYtgaAQSm6D6oEy2J5deZfp1h7aXzbDCzFZgbmjLd1lUgHDAgdJOEqhJFqTpKwCiOT6s64d4drxCMbcQew&q={searchTerms} HKU\S-1-5-21-4005860982-2939158325-716014447-1008\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1PbwLsaaO-xNshFawgFOQAP4TTSaLHscHiwO2U5tXBIw0Ypnrxpj_fRvywPXzdVPN15iY-ULpTEx6WpnHpLoB0OFfmJTBsuO HKU\S-1-5-21-4005860982-2939158325-716014447-1008\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1Pb89ocP6_uXDNzYtgaAQSm6D6oEy2J5deZfp1h7aXzbDCzFZgbmjLd1lUgHDAgdJOEqhJFqTpKwCiOT6s64d4drxCMbcQew&q={searchTerms} HKU\S-1-5-21-4005860982-2939158325-716014447-1008\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1Pb89ocP6_uXDNzYtgaAQSm6D6oEy2J5deZfp1h7aXzbDCzFZgbmjLd1lUgHDAgdJOEqhJFqTpKwCiOT6s64d4drxCMbcQew&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1Pb89ocP6_uXDNzYtgaAQSm6D6oEy2J5deZfp1h7aXzbDCzFZgbmjLd1lUgHDAgdJOEqhJFqTpKwCiOT6s64d4drxCMbcQew&q={searchTerms} SearchScopes: HKU\S-1-5-21-4005860982-2939158325-716014447-1008 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1Pb89ocP6_uXDNzYtgaAQSm6D6oEy2J5deZfp1h7aXzbDCzFZgbmjLd1lUgHDAgdJOEqhJFqTpKwCiOT6s64d4drxCMbcQew&q={searchTerms} SearchScopes: HKU\S-1-5-21-4005860982-2939158325-716014447-1008 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1Pb89ocP6_uXDNzYtgaAQSm6D6oEy2J5deZfp1h7aXzbDCzFZgbmjLd1lUgHDAgdJOEqhJFqTpKwCiOT6s64d4drxCMbcQew&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1458386141&z=39a616c052261f8a4110452gfz9wfb7c2b9q6e1t9z&from=cmi&uid=ST500DM002-1BD142_Z2AQEPN3XXXXZ2AQEPN3 StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursearching.com/?type=sc&ts=1458472476&z=092799a4db54c4842fe7258g8z0w6bfz0m8o0z9o2q&from=face&uid=ST500DM002-1BD142_Z2AQEPN3XXXXZ2AQEPN3 ShortcutWithArgument: C:\Users\Oskar_2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursearching.com/?type=sc&ts=1458472476&z=092799a4db54c4842fe7258g8z0w6bfz0m8o0z9o2q&from=face&uid=ST500DM002-1BD142_Z2AQEPN3XXXXZ2AQEPN3 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursearching.com/?type=sc&ts=1458472476&z=092799a4db54c4842fe7258g8z0w6bfz0m8o0z9o2q&from=face&uid=ST500DM002-1BD142_Z2AQEPN3XXXXZ2AQEPN3 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy C:\Program Files (x86)\AdwCleaner C:\Program Files (x86)\badu C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\UCBrowser C:\ProgramData\Konksolexs C:\ProgramData\lhgu C:\ProgramData\lhgus C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office 2013 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\uninst C:\Users\Oskar_2\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 C:\Users\Oskar_2\AppData\Local\Tempunpacker.exe C:\Users\Oskar_2\AppData\Local\app C:\Users\Oskar_2\AppData\Local\Lenovo C:\Users\Oskar_2\AppData\Local\Mozilla C:\Users\Oskar_2\AppData\Local\Steam\htmlcache C:\Users\Oskar_2\AppData\Local\Tempfolder C:\Users\Oskar_2\AppData\Local\UCBrowser C:\Users\Oskar_2\AppData\LocalLow\Company C:\Users\Oskar_2\AppData\Roaming\*.* C:\Users\Oskar_2\AppData\Roaming\Bouriwy C:\Users\Oskar_2\AppData\Roaming\Kyiadare C:\Users\Oskar_2\AppData\Roaming\MCorp C:\Users\Oskar_2\AppData\Roaming\Mozilla C:\Users\Oskar_2\AppData\Roaming\PiptoEtane C:\Users\Oskar_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Oskar_2\Downloads\*-dp*.exe C:\Users\Oskar_2\Downloads\Torrentex C:\Users\Public\Documents\dmp C:\WINDOWS\system32\eden C:\WINDOWS\system32\hiir C:\WINDOWS\system32\iesa C:\WINDOWS\system32\Drivers\bsdriver.sys C:\WINDOWS\system32\Drivers\cherimoya.sys C:\WINDOWS\system32\Drivers\ucguard.sys C:\WINDOWS\System32\Tasks\Lenovo C:\WINDOWS\SysWOW64\findit.xml C:\WINDOWS\SysWOW64\Number of results DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\8B140DE3-3691-474C-bF79-96E348EBD612 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\BrsHelper DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\dipubibu DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Disc Soft Lite Bus Service DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Freemake Improver DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdate DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdatem DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gyvixodu DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\lehicewu DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\lulonuji DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\QQPCRTP DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Service KMSELDI DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\shopperz100920151159 Updater DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SPBIUpd DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\TAOFrame DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "CCleaner Monitoring" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v svchost0 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v shopperz100920151159 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v shopperz10092015115964 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IDSCPRODUCT /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SpaceSoundPro /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ProductUpdater /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v wenguanjia /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SPDriver /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SmartWeb /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v YTDownloader /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v " QQPCTray" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AvastUI.exe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v pcmgr /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v apphide /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt. Wypowiedz się czy występują jeszcze jakieś problemy.

Adware PriceFountain nabyłeś z serwisu dobreprogramy.pl pobierając uTorrent. Na dysku widać poniższy plik "Asystenta pobierania" tego serwisu. Więcej na temat praktyk dobreprogramy: KLIK. 2016-03-30 10:16 - 2016-03-30 10:16 - 01023280 _____ (Hesudemo ) C:\Users\krzysiek\Desktop\uTorrent-13270-dp.exe Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {234BB692-CD84-4C2D-A2FA-4D7A2C69A5F9} - System32\Tasks\krzysiekMoonletsWhirredV2 => Rundll32.exe PolitburoBushiest.dll,main 7 1 Task: {600192B6-5E9F-44D4-9031-2CF7D63DE1AF} - System32\Tasks\PriceFountainUpdateVer => C:\Users\krzysiek\AppData\Roaming\PriceFountainUpdateVer\UpdateProc\UpdateTask.exe [2016-03-30] () Task: C:\Windows\Tasks\PriceFountainUpdateVer.job => DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PriceFountain RemoveDirectory: C:\Users\krzysiek\AppData\Local\MoonletsWhirred RemoveDirectory: C:\Users\krzysiek\AppData\Roaming\PriceFountainUpdateVer C:\Users\krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\allegro.pl .lnk C:\Users\krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Booking .lnk C:\Users\krzysiek\Desktop\uTorrent-13270-dp.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Problemem prawdopodobnie jest bufor DNS i w poniższym fiksie FRST zostanie wdrożone jego czyszczenie komendą ipconfig. Do przeprowadzenia następujące operacje: 1. Odinstaluj stare wersje i zbędne programy: Adobe Flash Player 10 ActiveX, Badanie mające na celu poprawę produktów HP Deskjet 1510 series, Java 8 Update 25, HP Customer Participation Program 13.0. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-4099545310-4218574422-2264496415-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 HKLM\...\Run: [] => [X] Task: {26999323-34EE-4C7D-A7BA-0113B3B014CE} - System32\Tasks\{69A61545-F91F-48B0-952E-68E8B80713AF} => E:\x86\setup.exe Task: {391DC075-9F86-4379-94C2-DF11F40189B7} - System32\Tasks\{A095500B-E3FB-436E-BFD7-A4D3418555CA} => Chrome.exe DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default C:\Users\admin\Desktop\Continue Flv Player Installation.lnk C:\Users\admin\Desktop\Moje Dokumenty\Winamp.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem nadal występuje.

MPC Cleaner posługuje się bardzo inwazyjnymi sterownikami, które nakładają filtry na woluminy oraz pilnują komponentów, stąd błąd dostępu przy próbie bezpośredniego skasowania elementów z rejestru. Sterowniki te są nieusuwalne przez programy które nie pracują na poziomie kernel, czyli AdwCleaner i FRST nie dadzą temu rady. Zwykle należy je usuwać z poziomu środowiska zewnętrznego. Wstępnie spróbuj tych działań: 1. Uruchom Registry DeleteEx (pracuje na poziomie kernel). Zaznacz opcję "Recursively delete all subkeys". W pasku adresów po kolei wklej te ścieżki i je usuń: HKLM\SYSTEM\CurrentControlSet\Services\MPCBase HKLM\SYSTEM\CurrentControlSet\Services\MPCKpt HKLM\SYSTEM\CurrentControlSet\Services\MPCProtectService Zresetuj system. 2. Wejdź do folderu C:\Program Files\MPC Cleaner i uruchom deinstalator, o ile plik nadal jest. Zresetuj system. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Aktualizacja do Windows 10 nie ma związku z problemem reklam. Był tu definitywnie uruchamiany jakiś "Asystent pobierania" ze sponsorami, przypuszczalnie z serwisu dobreprogramy.pl, gdyż w Temp jest charakterystyczny plik: C:\Users\Edyta\AppData\Local\Temp\ICReinstall_Adblock Plus 1.5 - Internet Explorer.exe Wstępnie: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Buzzdock, Wander Burst. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghCeQsLUwwSQhgVIgsKTA1IFA0OeAtdABRAFwZCd1paBFhBFQMFIk0FA1ADB0VXfVBdFElXTwh0IVdcBEszVEdQNA== HKU\S-1-5-21-4279228227-215742994-1318027649-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghCeQsLUwwSQhgVIgsKTA1IFA0OeAtdABRAFwZCd1paBFhBFQMFIk0FA1ADB0VXfVBdFElXTwh0IVdcBEszVEdQNA== SearchScopes: HKLM -> DefaultScope {A9A9ECA3-DEA4-482B-AD43-46692B227404} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfVgBUwpDFFZAbQ9aUwtcFQwWeBQAU1wQDAQVc1gPAlsUQAUXdh9aFQQTSEcFME0FCFwEURNNfW5ZD10UU3dWMkpM&q={searchTerms} SearchScopes: HKLM -> {A9A9ECA3-DEA4-482B-AD43-46692B227404} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfVgBUwpDFFZAbQ9aUwtcFQwWeBQAU1wQDAQVc1gPAlsUQAUXdh9aFQQTSEcFME0FCFwEURNNfW5ZD10UU3dWMkpM&q={searchTerms} SearchScopes: HKU\S-1-5-21-4279228227-215742994-1318027649-1001 -> DefaultScope {5B31877C-3856-4258-9A5F-AC0CDA29EF5D} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfVgBUwpDFFZAbQ9aUwtcFQwWeBQAU1wQDAQVc1gPAlsUQAUXdh9aFQQTSEcFME0FCFwEURNNfW5ZD10UU3dWMkpM&q={searchTerms} SearchScopes: HKU\S-1-5-21-4279228227-215742994-1318027649-1001 -> OldSearch URL = SearchScopes: HKU\S-1-5-21-4279228227-215742994-1318027649-1001 -> {5B31877C-3856-4258-9A5F-AC0CDA29EF5D} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfVgBUwpDFFZAbQ9aUwtcFQwWeBQAU1wQDAQVc1gPAlsUQAUXdh9aFQQTSEcFME0FCFwEURNNfW5ZD10UU3dWMkpM&q={searchTerms} SearchScopes: HKU\S-1-5-21-4279228227-215742994-1318027649-1001 -> {A9A9ECA3-DEA4-482B-AD43-46692B227404} URL = CHR RestoreOnStartup: Default -> "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghCeQsLUwwSQhgVIgsKTA1IFA0OeAtdABRAFwZCd1paBFhBFQMFIk0FA1oDB0VXfV5bFElXTwh0IVdcBEszVEdQNA==" CHR StartupUrls: Default -> "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghCeQsLUwwSQhgVIgsKTA1IFA0OeAtdABRAFwZCd1paBFhBFQMFIk0FA1oDB0VXfV5bFElXTwh0IVdcBEszVEdQNA==" CHR DefaultSearchURL: Default -> hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfVgBUwpDFFZAbQ9aUwtcFQwWeBQAU1wQDAQVc1gPAlsUQAUXdh9aFQQTQkcFME0FBloEURNNfW5ZD10UU3dWMkpM&q={searchTerms} CHR DefaultSearchKeyword: Default -> searchinterneat-a.akamaihd.net CHR DefaultNewTabURL: Default -> hxxp://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHFQacgoKVFoSDANBcgsVVQBEGRgbclxZTAhHElQUI1tdAAlFFxNBNARaAktXUUEeJ1pNER8fHGJCLl1dE3sEU0ZX DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy Task: {00983364-EC4D-4640-B6BA-7F2B9679F7A3} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File Task: {012DBFBE-3003-46A3-AC90-D6E1C31F873D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File Task: {08EB5D75-B8B7-431E-909D-FD30D04E62CE} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File Task: {2363E481-2A90-4F36-8E61-CE80E8072648} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File Task: {26374A49-3B60-4D71-B7A1-5A0CE67744D8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File Task: {3C50A149-FA75-4C0B-B8EE-FC73A9A244BD} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File Task: {92C22980-DE9D-41C1-B184-07025C64A105} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File Task: {A2A08ECD-4D0B-467B-98F8-011E6E0FA4E5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File Task: {AE668968-11DC-4F1E-B6E1-A99C45ACBDEF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File Task: {C0749BAC-A607-43DA-A670-0D614A99E853} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File Task: {DEC0DFB6-7790-4859-A6BC-BE69CE76D148} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File Task: {F6F96355-145B-4D26-A0C8-6B1DE674BB17} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Wander Burst C:\Program Files (x86)\Common Files\fccb0821-00ee-466c-acb5-2a5cec258511 C:\ProgramData\fccb0821-00ee-466c-acb5-2a5cec258511 C:\ProgramData\Mozilla C:\Users\Edyta\AppData\Local\Mozilla C:\Users\Edyta\AppData\Roaming\Mozilla C:\Users\Edyta\Desktop\Maciej\EPSON Scan.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt.

Infekcje adware wprowadził poniższy plik, to downloader ze śmieciami a nie zasadniczy poprawny instalator: 2016-03-28 16:47 - 2016-03-28 16:47 - 00755890 _____ (DotaPit) C:\Users\Marcin\Downloads\FirewatchSpolszczenie__7934_il49169.exe Działania wstępne: 1. Zastosuj narzędzie RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 2. Klawisz z flagą Windows + X >Połączenia sieciowe > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Deinstalacje: - Wejdź do folderu C:\Program Files (x86)\MPC Cleaner. Wyszukaj plik deinstalatora i z prawokliku "Uruchom jako Administrator". - Klawisz flagą Windows + X > Programy i funkcje > odinstaluj zbędne programy HijackThis 2.0.2, Lenovo Experience Improvement. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Fokpelil; C:\Users\Marcin\AppData\Roaming\Wyblifubyi\Wyblifubyi.exe [174424 2016-03-28] () R2 Mulrot; C:\Users\Marcin\AppData\Roaming\Cemmueyk\Cemmueyk.exe [174440 2016-03-27] () R2 Sajji; C:\Users\Marcin\AppData\Roaming\MynculLinn\Kyrnoete.exe [125800 2016-03-27] () S2 Adorbapa; "C:\Users\Marcin\AppData\Roaming\BykwSoacmo\Fesuiie.exe" -cms [X] HKLM\...\Run: [WINCOMVVP] => "C:\Program Files (x86)\sunnyday\wincom_VVP.exe" HKLM-x32\...\Run: [win_en_77] => "C:\Program Files (x86)\win_en_77\win_en_77.exe" HKLM-x32\...\Run: [mpck_en_005030281] => "C:\Program Files (x86)\mpck_en_005030281\mpck_en_005030281.exe" HKLM-x32\...\Run: [rec_pl_237] => "C:\Program Files (x86)\rec_pl_237\rec_pl_237.exe" Task: {6954A981-DDD9-402C-A2B8-B76AF67528D1} - System32\Tasks\Pepim => C:\PROGRA~1\NOLLEL~1\Pusrocv.bat Task: {6B84146F-6B46-436B-AC72-425A25EBE149} - System32\Tasks\Imosfadp => C:\PROGRA~1\KIJZHD~1\Wowda.bat Task: {9F68F609-6720-4B5A-8474-56E24C9C558A} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-05-30] (Lenovo) Task: {AA0ABD2A-24A8-40F3-80E3-BDC4AC93C815} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-09-02] (Lenovo) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKU\S-1-5-21-3990597668-3980982948-3345965999-1001 -> DefaultScope {93765662-4D05-4E19-91C8-CB83C3482FB2} URL = SearchScopes: HKU\S-1-5-21-3990597668-3980982948-3345965999-1001 -> {93765662-4D05-4E19-91C8-CB83C3482FB2} URL = FF Plugin-x32: @esn/npbattlelog,version=2.7.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.7.1\npbattlelog.dll [brak pliku] C:\Program Files (x86)\AdwCleaner C:\ProgramData\settings.cfg C:\uninst C:\Users\Marcin\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 C:\Users\Marcin\AppData\Local\app C:\Users\Marcin\AppData\Local\OTLand C:\Users\Marcin\AppData\Local\Tempfolder C:\Users\Marcin\AppData\Local\tuto_monetize_120160328 C:\Users\Marcin\AppData\Local\tuto_monetize_220160328 C:\Users\Marcin\AppData\Local\Steam\htmlcache C:\Users\Marcin\AppData\LocalLow\Company C:\Users\Marcin\AppData\Roaming\MCorp C:\Users\Marcin\AppData\Roaming\MynculLinn C:\Users\Marcin\AppData\Roaming\Cemmueyk C:\Users\Marcin\AppData\Roaming\Wyblifubyi C:\Users\Marcin\Downloads\FirewatchSpolszczenie__7934_il49169.exe C:\Users\Marcin\Downloads\ipchanger.exe C:\Users\Marcin\Downloads\IP Changer.rar C:\Users\Marcin\Downloads\IP Changer C:\WINDOWS\msdownld.tmp C:\WINDOWS\system32\cepl C:\WINDOWS\system32\los C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\Number of results C:\WINDOWS\SysWOW64\taskSchedularLog.txt CMD: ipconfig /flushdns Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z plikiem Addition. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

O ile problem nadal aktualny: 1. Odinstaluj YAC(Yet Another Cleaner!). To oszust: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs-x32: C:\ProgramData\Airtostrong\Techlab.dll => C:\ProgramData\Airtostrong\Techlab.dll [257536 2016-02-20] () R2 gprotect; C:\ProgramData\Google\update\GoogleUpdate.exe [315008 2016-01-25] () R2 WMModules; C:\ProgramData\Google\update\GoogleUpdate.exe [315008 2016-01-25] () S2 dnwnload; Brak ImagePath S2 ineupdwte; Brak ImagePath S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-02-20] () CMD: type C:\Windows\System32\Tasks\absprqduua CMD: type C:\Windows\System32\Tasks\prmdbctpro Task: {173A9D33-FC7D-4CDF-A356-7D5B6823CC54} - System32\Tasks\prmdbctpro => C:\Windows\system32\config\systemprofile\AppData\Local\Bam Task: {6F7ED116-4E4D-4D19-BE61-8FC92557BC4D} - System32\Tasks\absprqduua => C:\Windows\system32\config\systemprofile\AppData\Local\Incof [2016-02-15] () GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1436543881-1699761947-1862286600-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdGU-LUrHiwE6pHJ2ZtcWwDm0mZnNCcep1dJVnonlS3UyTWMG4df4VifsgL0Slqvgo4Ta7HQEB4mVs7bvWpfBgadxSJNim_XixiiB_35TIUnAO2GNK_M1n1MbevG5egGUYFFY0kegIqC_WTMAWUOEqC-goyTnN4,&q={searchTerms} HKU\S-1-5-21-1436543881-1699761947-1862286600-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdGU-LUrHiwE6pHJ2ZtcWwDm0mZnNCcep1dJVnonlS3UyTWMG4df4VifsgL0Slqvgo4Ta7HQEB4mVs7bvWpfBgadxSJNim_XixiiB_35TIUnAO2GNK_M1n1MbevG5egGUYFFY0kegIqC_WTMAWUOEqC-goyTnN4,&q={searchTerms} HKU\S-1-5-21-1436543881-1699761947-1862286600-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdGU-LUrHiwE6pHJ2ZtcWwDm0mZnNCcep1dJVnonlS3UyTWMG4df4VifsgL0Slqvgo4Ta7HQEB4mVs7bvWpfBgadxSJNim_XixiiB_35TIUnAO2GNK_M1n1MbevG5egGUYFFY0kegIqC_WTMAWUOEqC-goyTnN4,&q={searchTerms} URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} CHR HKLM-x32\...\Chrome\Extension: [bbidppmgmdmjgfenjdafcalmciolcehp] - hxxp://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Google C:\Program Files\Common Files\*.exe C:\Program Files\Common Files\bv5xjuxt C:\Program Files\Common Files\nubb32cc C:\Program Files\Common Files\zkp3phuf C:\ProgramData\Airtostrong C:\ProgramData\Airtostrongs C:\ProgramData\Google C:\Users\Dom\AppData\Local\*.* C:\Users\Dom\Desktop\Game\YAC.lnk C:\Users\Dom\Desktop\GRY\League of Legends.lnk C:\Windows\System32\config\systemprofile\AppData\Local\Incof C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\system32\log C:\Windows\SysWOW64\SetupComponents.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Zostały do wykonania akcje doczyszczające, tzn. usunięcie polityk Google wprowadzonych przez adware i zdefektowanej przeglądarki Google Chrome, adware w Operze oraz wpisów szczątkowych. Czyli: 1. Odinstaluj stare wersje, zbędne programy oraz nieszczęsne Google Chrome: Adobe Flash Player 20 PPAPI, Adobe Flash Player ActiveX, Adobe Shockwave Player, Badanie mające na celu poprawę produktów HP Deskjet 4640 series, Google Chrome. Przy deinstalacji Google Chrome zaznacz opcję Usuń także dane przeglądarki. Resztę elementów Google Chrome dokasuje skrypt podany poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Ograniczenia - Chrome CHR HKU\S-1-5-21-815356041-1699837707-3089796282-1001\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-815356041-1699837707-3089796282-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki SearchScopes: HKU\S-1-5-21-815356041-1699837707-3089796282-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-815356041-1699837707-3089796282-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-815356041-1699837707-3089796282-1001\...\MountPoints2: {2a437a52-3c2c-11e5-8298-142d27d525b2} - "G:\AutoRun.exe" Task: {3AF5E8D9-4AF7-46F1-8211-F3D23970E305} - System32\Tasks\{1EA26257-660C-42CF-B34E-11AAEF597768} => pcalua.exe -a "G:\fifa07 demo.exe" -d G:\ Task: {6331A89F-D9DC-49C9-8EA0-C5E66EC50496} - System32\Tasks\{3231C55A-F800-4457-99F5-870460284996} => pcalua.exe -a "C:\Program Files (x86)\Solid Edge V17\SETUP.EXE" -d "C:\Program Files (x86)\Solid Edge V17" Task: {822A9C2B-0C9D-4958-98BA-D199E8B4F097} - System32\Tasks\{582F851B-01A6-4A6A-9ACD-302E1DD517CF} => pcalua.exe -a "C:\Users\MASTER\Desktop\fifa07 demo.exe" -d C:\Users\MASTER\Desktop) Task: {A2E8B944-7D58-448E-ABD4-68940C422BD2} - System32\Tasks\{F89A535E-D949-4D59-8C81-DFFE0ED69E02} => pcalua.exe -a "E:\SolidEdge v17\CAD-edukacja 17\SE17 wersja polska\SETUP.EXE" -d "E:\SolidEdge v17\CAD-edukacja 17\SE17 wersja polska" Task: {B18450C2-0BF9-4C07-A4D0-0BA8DFA946E7} - System32\Tasks\{92C1C6E9-E0FE-4EB2-81D4-7481B2627CED} => pcalua.exe -a "C:\Program Files (x86)\Solid Edge V17\Program\Edge.exe" -d C:\Users\MASTER\Documents\ HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses C:\Users\MASTER\AppData\Local\Google C:\Users\MASTER\AppData\Roaming\appdataFr2.bin C:\Users\MASTER\AppData\Roaming\appdataFr25.bin C:\Users\MASTER\AppData\Roaming\XDSUPF C:\Users\MASTER\AppData\Roaming\MiKTeX\2.9\doc\latex\natbib\README.lnk C:\Users\MASTER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FarmVille 2.lnk C:\Users\MASTER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk C:\Users\MASTER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\MASTER\Desktop\programy\McAfee LiveSafe - Internet Security.lnk C:\Users\MASTER\Desktop\kognitywistyka\I semestr\Technologie informacyjne\zadania\document.pdf — skrót (2).lnk C:\Users\MASTER\Desktop\kognitywistyka\I semestr\Technologie informacyjne\zadania\Dok1.docx — skrót.lnk C:\Users\MASTER\Desktop\kognitywistyka\I semestr\Technologie informacyjne\zadania\zadanie4.pdf — skrót.lnk CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Operę z adware: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware Jungle Net 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Tweaking.com - Registry Backup Strona domowa Platforma: Windows XP do Windows 11 32-bit i 64-bit Licencja: freeware Tweaking.com - Registry Backup to program do tworzenia kopii rejestru, który posługuje się dwoma metodami zrzucania rejestru: Windows API (Fallback Backup Method) lub Kopiowanie woluminów w tle (Windows Volume Shadow Copy). Domyślnie jest ustawiona ta pierwsza, rekonfiguracja wykonywana z poziomu opcji zaawansowanych. Są adresowane wszystkie pliki rejestru systemu i użytkowników, załadowane oraz niezaładowane. Od wersji 3.4.0 program również kopiuje uprawnienia plików rejestru jako takich oraz przywraca je podczas zrzucania kopii zapasowej przy udziale usługi uruchamianej przy kolejnym restarcie. W folderze aplikacji znajdują się skorelowane z tym procesem narzędzia ManageACL_32.exe / ManageACL_64.exe używane przy ustawianiu uprawnień oraz TweakingRegRestore_32.exe / TweakingRegRestore_64.exe instalujące usługę, uruchamiające ManageACL i deinstalujące usługę po ukończeniu procesu. Ogólnie w konfiguracji można ustalić: domyślny katalog zrzucania kopii zapasowej, automatyczne usuwanie starszych kopii, planowanie kopii przy udziale Harmonogramu zadań, zmianę metody wykonywania kopii. Dostępne dwie wersje narzędzia: instalacyjna oraz portable.

Fix pomyślnie wykonany. Kolejne poprawki na wyniki wyszukiwania w rejestrze. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Classes\.qbox DeleteKey: HKLM\SOFTWARE\Classes\qmbfile DeleteKey: HKLM\SOFTWARE\Classes\qpakfile DeleteKey: HKLM\SOFTWARE\Classes\QQPCMgr.qbox DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Classes\WOW6432Node\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\WOW6432Node\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\WOW6432Node\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\WOW6432Node\Google\Chrome\NativeMessagingHosts\com.qq.qmchext DeleteKey: HKLM\SOFTWARE\WOW6432Node\Tencent DeleteKey: HKU\S-1-5-21-957152668-3480208630-3226306878-1002\SOFTWARE\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKU\S-1-5-21-957152668-3480208630-3226306878-1002\SOFTWARE\Tencent Reg: reg delete HKU\S-1-5-21-957152668-3480208630-3226306878-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\UFH\SHC /v 0 /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. I jakoś przeoczyłam, że nie podałeś pliku FRST Shortcut. Dorzuć go.

Ten plik Fixlog ma bardzo dziwną zawartość, która w ogóle nie potwierdza że wklejono podany przeze mnie tekst do Notatnika. Otwórz go, w nim są "same zera". Powtórz operację. Oczywiście. I załatwmy to w tym temacie.